27/12/24
Исследователи в области кибербезопасности обнаружили использование нового вредоносного ПО OtterCookie в рамках кампании Contagious Interview, нацеленной на разработчиков программного обеспечения. Кампания активна с декабря 2022 года и ранее была известна благодаря использованию таких вредоносных программ, как BeaverTail и InvisibleFerret. Об этом пишет Securitylab.
Согласно отчёту NTT Security Japan, OtterCookie впервые появился в сентябре этого года, а его обновлённая версия была зафиксирована в ноябре. Вредоносное ПО распространяется через загрузчик, который извлекает данные JSON и выполняет JavaScript-код из свойства «cookie». Основными каналами заражения остаются проекты Node.js, пакеты npm, а также файлы, созданные на базе Qt или Electron, которые загружаются с GitHub и Bitbucket.
После активации OtterCookie устанавливает защищённое соединение с сервером управления и выполняет команды. Одной из ключевых функций вредоносного ПО является кража конфиденциальной информации, включая ключи криптовалютных кошельков, документы, изображения и другие данные. Версия, выпущенная в сентябре, имела встроенную функцию поиска Ethereum-ключей, которая в ноябрьской модификации была заменена удалённым выполнением команд.
Исследователи также отметили способность OtterCookie перехватывать данные из буфера обмена и выполнять команды для разведки, например, «ls» и «cat», указывающие на подготовку к более глубокому проникновению в систему. Кампания демонстрирует постоянные эксперименты злоумышленников с методами атаки и разнообразие тактик заражения.
Эксперты советуют разработчикам проявлять осторожность при получении предложений о работе, тщательно проверять работодателя и избегать выполнения незнакомого кода на своих устройствах.
